O Projeto NuFW (http://www.nufw.org) é uma suíte de autenticação que se acopla ao iptables no Linux. A idéia é autenticar o usuário que está tentando acessar o recurso, jogando o pacote que está entrando no firewall para uma fila. Após a autenticação ser feita, podendo-se utilizar diretórios LDAP, o pacote irá para o filtro iptables caso a autenticação seja válida e constatada que aquele usuário realmente tem acesso ao recurso solicitado.

Atualmente o daemon roda em Linux e possui clientes gratuitos para Linux e Windows.

Características do NuFW

1. Autenticar toda conexão que passa pelo seu firewall, ou apenas vinda ou indo a algum determinado ponto, ou por um protocolo específico, etc.

2. Permitir que seja realizada uma contagem, roteamento e QoS (Quality of Service) baseado em um usuário e não somente em endereços IP.

3. Filtrar pacotes com um maior detalhamento, como por sistema operacional do usuário que está se conectando, ou alguma aplicação.

4. Implementar SSO (Single Sign On).

5. É um software escalável, que se divide em 2 daemons que podem ser colocados em diferentes sistemas operacionais, onde o daemon principal (responsável pela autenticação) é totalmente multithread.

6. É um software modular, onde a autenticação dos usuários e as ACL (Access Control List) podem ser acessadas via LDAP, clean text, dbm, system, etc.

7. NuFW é um software aberto, liberado sob a GNU GPL.

Atualmente o NuFW possui clientes para Linux e Windows, ambos em uma janelinha típica do MS-DOS. Porém a empresa INL (http://www.inl.fr/article.php3?id_article=26) já fabrica um cliente totalmente Win32, visual, que pode ser instalado e melhor administrado caso os clientes remotos sejam máquinas Windows.

Este projeto traz uma enorme revolução aos firewalls iptables, pois com o passar do tempo, simples firewalls que fazem apenas filtro, podem se tornar servidores poderosos de VPN client-to-site, onde o foco será o usuário e não só o pacote que está passando pelo gateway.

Hoje esta funcionalidade de VPN é incorporada em apenas alguns firewalls comerciais, como o Firewall-1 da Checkpoint, BorderManager da Novell, ISA Server da Microsoft, NetScreen da Juniper, dentre outros. Todos com um altíssimo custo, se o interesse do comprador for a VPN.

Eu montei um laboratório aqui e estou testando exaustivamente o NuFW. Espero em breve postar um artigo contendo um guia completo de implementação, mas por enquanto eu só queria mesmo é divulgá-lo para vocês!

Um abraço e até a próxima.